Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de Rockwell Automation

Fecha de publicación 11/05/2018
Importancia
5 - Crítica
Recursos Afectados
  • Arena versiones 15.10.00 y anteriores
  • FactoryTalk Activation Manager v4.00 y v4.01, distribuido en Wibu-Systems CodeMeter v6.50b y anteriores
  • FactoryTalk Activation Manager v4.00 y anteriores, distribuido con FlexNet Publisher v11.11.1.1 y anteriores
  • Notar que los siguientes productos requieren el uso de FactoryTalk Activation Manager:
    • Arena
    • Emonitor
    • FactoryTalk AssetCentre
    • FactoryTalk Batch
    • FactoryTalk EnergyMetrix
    • FactoryTalk eProcedure
    • FactoryTalk Gateway
    • FactoryTalk Historian Classic
    • FactoryTalk Historian Site Edition (SE)
    • FactoryTalk Information Server
    • FactoryTalk Metrics
    • FactoryTalk Transaction Manager
    • FactoryTalk VantagePoint
    • FactoryTalk View Machine Edition (ME)
    • FactoryTalk View Site Edition (SE)
    • FactoryTalk ViewPoint
    • RSFieldBus
    • RSLinx Classic
    • RSLogix 500
    • RSLogix 5000
    • RSLogix5
    • RSLogix Emulate 5000
    • RSNetWorx
    • RSView32
    • SoftLogix 5800
    • Studio 5000 Architect
    • Studio 5000 Logix Designer
    • Studio 5000 Logix Emulate
    • Studio 5000 View Designer
Descripción

Rockwell Automation y el investigador Ariele Caltabiano en colaboración con Zero Day Initiativede Trend Micro, han identificado varias vulnerabilidades en las que un potencial atacante con acceso a los dispositivos afectados podría llegar acceder a información sensible, sobrescribir contenido, realizar una denegación de servicio o provocar un desbordamiento de búfer pudiendo llegar a ejecutar código de forma remota.

Solución

Rockwell Automation recomienda a los usuarios con versiones afectadas de CodeMeter o FlexNet Publisher que han sido instalados con Factory Talk Activation Manager actualizar a la versión v4.02. Si no es posible actualizar directamente la versión de Factory Talk Activation Manager v4.02, se debería previamente actualizar CodeMeter a una versión que soporte dicha actualización.

Los usuarios de Arena Software disponen de versiones actualizadas v15.10.01 y posteriores, que corrigen estas vulnerabilidades, que pueden descargarse en el siguiente enlace (Acceso privado):
https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1073588

Rockwell Automation recomienda aplicar otras medidas de seguridad adicionales a las propias actualizaciones:

  • Bloquear todo el tráfico Ethernet/IP u otros protocolos basados en CIP, donde no sea estrictamente necesario. Los puertos que deben tener un acceso restringido son puerto TCP/2222 y UDP/44818. Se recomienda utilizar medias de control de tráfico como cortafuegos, dispositivos UTM, etc.
  • Minimizar la exposición de los dispositivos y asegurar que no estén accesibles desde Internet.
  • Realizar los accesos remotos con métodos seguros, como son el uso de VPN (Virtual Private Networks).
Detalle
  • Cross-Site-Scripting (“XSS”): un potencial atacante local, podría aprovechar una vulnerabilidad en Wibu-Systems CodeMeter para inyectar scripts web o código HTML, aprovechando un campo en el fichero de configuración. Esta vulnerabilidad permitiría a dicho atacante acceder a información sensible o reescribir el contenido de la página HTML. Se ha asignado el código CVE-2017-13754 para esta vulnerabilidad.
  • Incorrecta restricción de operaciones dentro de los límites de la memoria del buffer: una función propietaria encargada de copiar las cadenas dentro de FlexNet Publisher, no válida de manera adecuada los datos de entrada, permitiendo a un potencial atacante, sin necesidad de estar autenticado, enviar mensajes especialmente modificados para causar un desbordamiento de búfer. Se ha asignado el código CVE-2015-8277 para esta vulnerabilidad.
  • Incorrecta liberación de memoria: el uso de memoria sin que esta sea previamente liberada de manera correcta, podría ser aprovechada por un potencial atacante para enviar paquetes especialmente malformados, causando a la aplicación un estado inestable, pudiendo afectar a la disponibilidad o la pérdida de datos no guardados. Se ha asignado el código CVE-2018-8843 para esta vulnerabilidad.

Encuesta valoración